Il concetto di misure minime di sicurezza, nel diritto italiano, è definito dal codice sulla protezione dei dati personali.
Un'importante misura minima di sicurezza prevista era l'obbligo di adozione annuale da parte dei titolari di un documento programmatico sulla sicurezza: la stesura annuale del DPS è stata abrogata dall'art. 45 del decreto semplificazioni (convertito in legge il 4 aprile 2012).
Caratteristiche
[modifica | modifica wikitesto]Le misure di sicurezza sono costituite dal complesso delle misure organizzative, tecniche, informatiche, logistiche e procedurali volte a ridurre al minimo i rischi di:
- distruzione o perdita, anche accidentale, dei dati,
- accesso non autorizzato;
- trattamento non consentito o non conforme alle finalità della raccolta,
- modifica dei dati in conseguenza di interventi non autorizzati o non conformi alle regole.
Differenza tra misure minime e misure idonee
[modifica | modifica wikitesto]Le misure di sicurezza minime si differenziano dalle idonee per i diversi livelli di responsabilità, ma non solo. Il titolare deve individuare preventivamente misure di sicurezza che devono almeno rispettare i parametri di sicurezza minimi individuati nel Codice (articoli 33, 34, 35 e 36) e nel Disciplinare Tecnico (Allegato B del Codice Privacy); se le misure di sicurezza adottate non rispettano i parametri minimi contenuti nel regolamento, si concretizza la fattispecie penale di omissione delle misure minime e la conseguente responsabilità.
L'individuazione di misure che rispettano i parametri previsti come minimi non è sufficiente a liberare da ogni responsabilità il soggetto che effettua il trattamento. Se le misure adottate non sono idonee ad evitare il danno, il Titolare può essere coinvolto comunque sotto un profilo di responsabilità civile, anche se non ci sono gli estremi per la responsabilità penale prevista dalla legge. Le misure minime di sicurezza sono tipizzate dal legislatore. Quelle idonee no. Devono essere scelte dal buon Titolare sulla base della natura dei dati, delle caratteristiche del trattamento e dallo stato dell'arte e della tecnica.
Conseguenze sanzionatorie
[modifica | modifica wikitesto]Le conseguenze della mancata adozione di misure di sicurezza sono quindi le seguenti:
- la sanzione penale per omessa adozione delle misure minime è quella prevista dall'articolo 169 del Codice (arresto sino a due anni);
- il risarcimento del danno - nel caso le misure adottate non siano idonee ad evitare il danno - è previsto dall'art. 15 legge del Codice che rimanda all'art. 2050 del Codice Civile (relativa allo svolgimento di attività pericolose); in questo tipo di responsabilità è prevista una presunzione speciale di colpa a carico del responsabile del danno (in questo caso chi effettua il trattamento): il responsabile ha l'onere della prova di aver adottato tutte quanto era possibile per evitare il danno, facendo riferimento ad adeguate prassi tecniche conosciute di sicurezza informatica, mentre il danneggiato deve solo dimostrare l'esistenza del danno.
I soggetti obbligati
[modifica | modifica wikitesto]Tutti i titolari di trattamento sono tenuti ad adottare misure minime individuate dal Codice e secondo le modalità previste nel Disciplinare tecnico allegato al Codice. Va sottolineato come l'articolo 31 del Codice non fa differenza tra violazione della riservatezza dei dati personali propriamente detta - quale si avrebbe ad esempio nel caso di accesso a dati sensibili da parte di terzi non autorizzati - e distruzione o perdita accidentale di dati già legittimamente raccolti e trattati.
La mancata custodia dei dati è comunque causa di un danno, e il responsabile di questo danno è sanzionato. Infatti dal solo danno della distruzione o perdita dei dati derivano varie gravi conseguenze: ad esempio il blocco delle attività, costi gestionali imprevisti, danno di immagine. Inoltre poiché il privato deve poter fare affidamento sui dati che ha già comunicato, ne consegue che in caso di negligente custodia egli può richiedere il risarcimento del danno.
Per questi motivi il soggetto che non adotta misure di sicurezza adeguate è sanzionato penalmente (se le misure non rispettano i parametri previsti dal regolamento sulle misure minime secondo le modalità previste dal Disciplinare Tecnico) e può essere chiamato a rispondere civilmente per il risarcimento del danno (se le misure non sono idonee).
Ai sensi dell'art 31 del Codice, le misure di sicurezza adottate per il trattamento dei dati personali devono essere:
- adeguate in relazione alle conoscenze acquisite in base al progresso tecnico e tali da ridurre al minimo i rischi di distruzione dei dati o accesso non autorizzato;
- adottate in via preventiva e differenziate in base alla natura dei dati e alle specifiche caratteristiche del trattamento.
Voci correlate
[modifica | modifica wikitesto]- Codice in materia di protezione dei dati personali
- Incaricato del trattamento dei dati
- Responsabile della protezione dei dati
Collegamenti esterni
[modifica | modifica wikitesto]- Disciplinare tecnico in materia di misure minime di sicurezza - Allegato B del Codice sulla protezione dei dati personali.